美国卫生与公众服务部提议修订《健康保险流通与责任法案》安全规则以加强保护

《健康保险流通与责任法案》安全规则的重大更新或将出台——这是二十年来首次，将影响所有受HIPAA监管的实体。 美国卫生与公众服务部（HHS）发布拟议规则制定通知（拟议规则），旨在强化网络安全防护，更好地抵御针对美国医疗系统的网络威胁。公众意见征询期将于2025年3月7日截止（即拟议规则在《联邦公报》发布后60天）。

为加强《健康保险流通与责任法案》安全规则所要求的保障措施，卫生与公众服务部（HHS）针对医疗保健领域网络攻击激增的现状提出本提案。具体而言，HHS指出2018至2023年间，因黑客攻击和勒索软件引发的大规模数据泄露事件报告量增长了102%，受影响个人数量激增1002%。

拟议规则摘要

拟议规则旨在通过澄清和修订定义，并取消"强制性"与"可选性"实施规范之间的区别，来强化《安全规则》的要求。该规则新增了实施要求，以更好地确保受《健康保险流通与责任法案》监管的实体，按照行业标准最佳实践（如美国国家标准与技术研究院网络安全框架）实施合规活动。

受监管实体须以书面形式记录所有安全规则政策和程序，包括：

• 建立并维护技术资产书面清单及网络拓扑图。受监管 实体需持续审查并更新其资产清单与网络拓扑图，更新频率 至少为 每年一次，且当环境或运营发生可能影响电子受保护健康信息（ePHI）的变更时，必须立即更新。
• 年度风险分析需更具针对性风险分析将包含一份书面评估，其中包括但不限于以下内容：
  • 识别所有可能对电子健康信息（ePHI）的保密性、完整性和可用性构成威胁的合理预期风险。
  • 识别相关信息技术系统中潜在及已存在的漏洞。
  • 对用于保护电子健康信息（ePHI）的安全措施进行评估和记录。
  • 对每个已识别威胁利用已识别漏洞的可能性进行合理评估。
  • 对现有或潜在业务合作伙伴对电子健康信息（ePHI）构成风险的评估。
• 建立变更管理控制措施。拟议规则规定，在实体环境发生变更前，须进行技术性与非技术性评估。
• 补丁管理政策与流程。受《健康保险流通与责任法案》（HIPAA）监管的 实体须至少每12个月审查一次补丁管理流程，并根据合理性与适用性原则进行调整。修复关键漏洞的"合理且适当"时限为发现漏洞后15个日历日内。
• 健全的风险管理规划。拟议规则对制定和实施风险管理计划提出了更严格的要求，旨在降低通过强制性风险分析所识别出的风险。
• 对监控及事件响应政策和程序的严格要求。 拟议规则将要求：
  • 对相关信息技术系统的活动进行审查，该审查应根据风险管理策略进行定制，并提高对任何可能暗示安全事件的活动的警觉性。
  • 一份包含灾难恢复规划流程的事件响应计划，该流程将在72小时内恢复丢失的IT系统。
  • 年度合规性审计，以确保符合《安全规则要求》。

除书面政策和程序外，拟议规则还试图扩展《安全规则》的技术保障措施，这将要求受监管实体：

• 对静态和动态状态下的电子健康信息（ePHI）进行加密，但有限例外情况除外。
• 使用多因素身份验证，但有限例外情况除外。
• 建立并部署技术控制措施，以确保相关IT系统配置的一致性。
• 实施必要的配置管理控制措施，包括部署反恶意软件防护、移除冗余软件，并根据风险分析结果禁用相关端口。
• 至少每六个月进行一次漏洞扫描，至少每12个月进行一次渗透测试。
• 使用网络分段。
• 部署技术控制措施，以创建并维护相关IT系统的备份，并每六个月审查和测试此类控制措施的有效性。

此外，拟议规则还增加了对业务伙伴协议的要求（这意味着若拟议规则最终立法通过，现有业务伙伴协议需进行修订）。具体而言，业务伙伴协议必须包含一项条款：要求业务伙伴在启动应急预案时，须在不合理延误的情况下（且最迟不得超过启动后24小时）通知相关实体（分包商则需通知业务伙伴）。 此外，拟议规则对业务伙伴合作关系提出额外要求，包括要求覆盖实体每年从业务伙伴处获取关于安全规则技术保障措施合规性的书面分析与认证。该分析须由"具备电子健康信息网络安全原则相关知识和经验的人员"执行。 拟议规则明确指出：将安全规则要求的合规活动委托给业务伙伴的HIPAA监管实体，仍须对安全规则的遵守承担责任。

新兴技术信息征询书

通过该拟议规则，卫生与公众服务部（HHS）正就新兴技术（如人工智能、量子计算、虚拟现实与增强现实）及其在《健康保险流通与责任法案》（HIPAA）监管框架中的定位征集意见。拟议规则指出，在受HIPAA监管的实体实施这些新兴技术前，必须对电子健康信息（ePHI）的潜在风险与脆弱性进行准确而全面的评估。

HIPAA监管实体的下一步动向

目前，拟议规则的未来尚不明朗，因为新当选的政府很可能决定是否推进该规则制定程序。尽管网络安全保护措施获得了两党支持，且特朗普政府初期曾重点关注信息安全，但预计现任特朗普政府将采取反对加强监管的立场。因此，受《健康保险流通与责任法案》（HIPAA）监管的实体应持续关注相关进展。 鉴于时间紧迫，相关机构仍应审阅拟议规则，以确定是否需要提交意见——若该规则按当前版本推进，这些意见将具有重要意义。 

医疗保健数据隐私领域持续快速演变，因此受《健康保险流通与责任法案》（HIPAA）监管的实体应密切关注任何新动向，并持续采取必要措施确保合规。 若您对HIPAA合规要求、拟议规则的影响及其他近期医疗保健数据隐私法规变更存在疑问，或需要协助提交拟议规则相关意见，请联系本文作者、福里律师事务所网络安全与数据隐私业务组或医疗保健业务组的任何合伙人或高级顾问。